Detektering av Chrome-utvidelser via webside med metoden til .Krzysztof Kotowicz (Bilde: digi.no)

Chrome avslører installerte utvidelser

Kun et lite skript skal til.

I likhet med Firefox tilbys det en mengde nettleserutvidelser til Google Chrome. Dette inkluderer alt fra utviklingsverktøy til verktøy som tilpasser visningen av gitte nettsteder slik brukeren ønsker.

De fleste utvidelsene er ikke-kontroversielle, men det finnes mange tilfeller på det motsatte. Det er ikke sikkert at brukeren ønsker at alle nettsteder som ønsker det, kan få vite omtrent hvilke utvidelser som er installert i nettleseren.

Det har de nemlig mulighet til når brukeren benytter Google Chrome. Krzysztof Kotowicz, en polsk ekspert på websårbarheter, beskriver det hele i dette blogginnlegget.

Ved hjelp av et relativt enkel JavaScript-kode har Kotowicz laget et konseptbevis som forteller om gitt utvidelser er installert i brukerens Chrome.

Dette er ifølge Kotowicz mulig fordi alle Chrome-utvidelser tilbyr spesielle URL-er som gir tilgang til utvidelsens ressurser. Denne URL-en starter med «chrome-extension://» og inneholder den unike ID-en til utvidelsen. Skriptet til Kotowicz sjekker om utvidelser med gitte id-er er installert. De som ønsker å benytte metoden, må altså ha en liste over id-ene til de utvidelsene som det mener er interessante, for eksempel en slik som denne. Men det er enkelt nok å sette sammen fra Chrome Web Store.

Kotowicz nevner flere potensielle problemer med en slik mulighet.

Den mest alvorlige er knyttet til at mange utvidelser er dårlig programmert og inneholder alvorlige sårbarheter. Det blir da enkelt for ondsinnede å finne ut at en slik sårbar utvidelse er installert og deretter utnytte dette til å utføre et angrep. Kotowics skriver mer om dette i et annet blogginnlegg.

Mange nettleserbrukere benytter utvidelser som hindrer visning av visse typer innhold, for eksempel annonser. Metoden gjør det mulig for nettsteder å nekte brukere adgang dersom nettleseren har denne typen utvidelser installert.

Cookie er langt fra den eneste metoden annonseselskaper og andre kan benytte for å gjenkjenne nettleserbrukere. Nettleserversjon, operativsystem, språkinnstillinger, IP-adresse, skjermoppløsning, tilgjengelig fonter og mye annet kan sammen brukes til å danne en temmelig unik brukerprofil. En test som inkluderer noe av dette tilbys av Electronic Frontier Foundation (EFF) her.

En oversikt over hvilke av de mest populære utvidelsene som er installert i nettleseren, kan bidra til å gjøre profilen enda mer unik.

Nå ser det ut til at Google allerede er kjent med problemet. Løsningen er knyttet til en ny versjon av manifestet til utvidelsen. Med neste versjon av nettlesere, Chrome 18, fases en ny versjon av manifestet inn. Denne nye versjonen blokkerer i utgangspunktet webtilgangen til alle ressurser som er oppgitt i manifestet, med mindre slik tilgang er oppgitt i en hvitliste. Men denne versjonen av manifestet vil ikke bli obligatorisk med det aller første.

    Les også:

Til toppen